Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial.
Les sanctions ne peuvent pas être rendues publiques et sont limitées (rappel à l'ordre, amende d'un montant maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
Les pratiques formellement interdites aux employeurs
Parmi les méthodes interdites, la mise en copie automatique de tous les messages reçus et rédigés par les employés est considérée comme étant exagérée. De plus, la conservation des informations de connexion d'un salarié ne peut pas se faire au-delà de 6 mois.
Art.
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
L'employeur qui, dans les délais prévus, n'a pas présenté le plan mentionné au deuxième alinéa ou n'a pas pris les mesures nécessaires à la réalisation du plan arrêté par la juridiction en vertu du troisième alinéa, est puni d'une amende de 18 000 euros ainsi que des peines prévues à l'article L. 4741-14.
Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Le droit à la limitation de vos données est prévu par le RGPD. Si vous contestez l'exactitude des données utilisées par l'organisme ou que vous vous opposez à ce que vos données soient traitées, la loi autorise l'organisme à procéder à une vérification ou à examen de votre demande pendant un certain délai.
Quels sont les délais pour répondre à une demande ? Il faut répondre à une demande de droit à la portabilité : par principe dans les meilleurs délais, et dans un délai d'un mois maximum (article 12.3 du RGPD) ; si les demandes sont complexes et/ou nombreuses, sous 3 mois maximum (article 12.3 du RGPD).
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
· Google, 4,3 milliards d'euros
Il s'agit de la plus lourde jamais infligée en Europe dans une affaire d'abus de position dominante.
Les peines principales de l'infraction sont l'amende et l'incarcération (la prison). Les peines complémentaires, qui viennent s'ajouter aux peines principales. Elles peuvent être très diverses : suspension du permis de conduire, interdiction d'exercer un type d'activité professionnelle, confiscation d'une arme, etc.
Comme de nombreux géants pharmaceutiques, l'entreprise américaine Pfizer a été condamnée à de lourdes amendes par le passé, notamment pour des faits de pratiques commerciales frauduleuses ou de non respect de l'environnement et des droits humains.
Le RGPD est obligatoire dans l'ensemble des 28 états membres depuis le 25 mai 2018. Tous les acteurs ayant recours à des données personnelles doivent se conformer à ce règlement européen.
Le Règlement général sur la protection des données (RGPD) s'applique depuis le 25 mai 2018 : à toute organisation, publique et privée, quels que soient sa taille (entreprise, ministère, administration, collectivité, association, etc.);
L'essentiel à savoir en 1 minute. La règle est simple : le RGPD s'applique à toute entreprise qui collecte, stocke ou utilise des données personnelles sur des résidents de l'Union européenne, que l'entreprise soit située dans l'Union européen ou en dehors de l'Union européenne.
Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique. Il est interdit de recueillir et d'utiliser ces données.
La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le libre flux des données à caractère personnel entre les États membres.
La CNIL a le pouvoir d'effectuer des contrôles auprès de l'ensemble des responsables de traitement. Ils peuvent se dérouler sur place, sur pièces, sur audition ou en ligne.
la limitation de la diffusion des données en ligne : le principe de limitation de la durée de conservation implique que, par principe les administrations ne peuvent pas conserver des données à caractère personnel au-delà de la durée nécessaire à la finalité pour laquelle ces données ont été collectées.
L'obligation d'alerte, d'assistance et de conseil
Le sous-traitant, en charge du traitement de données personnelles pour le compte du responsable de traitement (son client), doit être en mesure d'accompagner ce dernier et de le conseiller en matière de bon usage des informations traitées.
1 - Risque financier
Certains manquements relatifs aux obligations de formalisme et à la sécurité des données sont sanctionnés dans un maximum de 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Des sanctions graduelles
Avertissement ou mise en demeure et rappel des règles de mises en conformité ; Injonction, ordre de cessation immédiate des violations ; Limitation ou suspension temporaire des traitements ; Sanctions administratives en cas d'inefficacité des injonctions ou de récidive.
2. Une nouvelle gradation des sanctions. Par anticipation de l'entrée en vigueur du RGPD, les sanctions prévues par la Loi informatique et libertés du 6 janvier 1978 avaient été peu à peu renforcées. A l'origine, le montant des sanctions ne pouvait excéder 150.000 euros pour un premier manquement.
Quand le règlement ne s'applique pas
Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. À condition que votre entreprise n'adresse pas spécifiquement ses services aux personnes établies au sein de l'UE, elle n'est pas soumise aux règles du RGPD.